Boetes dreigen voor bedrijven die laks omgaan met nieuwe privacywet
Veel Nederlandse bedrijven en organisaties lopen vanaf volgend jaar kans op hoge boetes, omdat ze nog niet klaar zijn voor een nieuwe Europese privacywet. Uit onderzoek van consultancybureau PwC onder 350 bedrijven blijkt dat ruim de helft van de bedrijven nog niet serieus begonnen is met de voorbereidingen.
Dat terwijl de nieuwe wet nogal wat om handen heeft. "Als je nu nog moet beginnen, wordt het heel spannend", zegt ict-jurist Arnoud Engelfriet. De boetes bij niet voldoen aan de wet zijn fors: maximaal 4 procent van de jaaromzet of 20 miljoen euro, al is de kans groot dat de boetes in de praktijk lager uitvallen.
Dat veel bedrijven desondanks nog niet klaar zijn, baart Aleid Wolfsen, hoofd van de Autoriteit Persoonsgegevens, grote zorgen. "Het gaat om ingrijpende wetgeving die gevolgen heeft voor onze grondrechten. Bedrijven moeten nu echt aan de slag", zegt hij.
Veel bedrijven hebben last van achterstallig onderhoud.
Voor burgers is de nieuwe wet positief: ze hebben meer controle over hun data. "Je kunt bijvoorbeeld tegen een bedrijf zeggen: ik wil dat deze data over mij worden verwijderd", zegt Wolfsen. "Je kunt de toestemming die je geeft aan een bedrijf om je privégegevens te bewaren straks ook weer intrekken."
Fijn voor onze privacy, maar bedrijven en andere organisaties moeten daar hun computersystemen wel op aanpassen. Ook moeten organisaties veel beter vastleggen wat voor data ze precies bewaren. "Je moet alles wat je opslaat goed documenteren en de beveiliging ervan op orde hebben", aldus Engelfriet. Hoe gevoeliger de gegevens die een bedrijf heeft, hoe strenger de regels.
En lastig daarbij is dat veel bedrijven geen idee hebben van wat ze allemaal opslaan. "Veel bedrijven hebben last van achterstallig onderhoud. Die hebben de afgelopen jaren allemaal nieuwe systemen gebouwd waarin gegevens worden opgeslagen, maar weten niet meer waar alles precies staat en of dat volgens de regels gebeurt", zegt beveiligingsdeskundige Bram van Tiel van PwC.
Dat geldt niet alleen voor de Googles en Facebooks van deze wereld, maar voor alle organisaties die persoonsgegevens opslaan: van de bakker om de hoek met een mailinglijst en de voetbalclub tot middelbare scholen.
"Ik heb er een dagtaak aan", zegt ict'er André Poot van de scholenkoepel CVO-AV. "We moeten al onze privacyreglementen herschrijven en al onze databases in kaart brengen." Dat doet hij niet voor niets: "De privacywaakhond heeft duidelijk gemaakt dat het speelkwartier voor scholen vanaf nu over is en dat we strenger aangepakt gaan worden."
"Je moet continu onder de loep houden wat je precies doet met data", zegt Job Vos van Kennisnet, dat scholen helpt met ict. "Iedere docent moet worden getraind om zorgvuldig met privacy om te gaan." Zo moeten docenten beseffen dat ze gevoelige gegevens niet mogen mailen of uitwisselen op usb-sticks. "Dat mocht al niet, maar straks moet je kunnen aantonen dat je dat ook echt niet doet", zegt Vos.
Dus bedrijven, heb je boel op orde.
De school van Poot had vorig jaar een datalek waarbij de inhoud van webformulieren via Google te vinden was. Daaronder was gevoelige data, zoals ouders die melden dat ze gingen scheiden.
Voor dat soort dingen kunnen sneller boetes worden opgelegd. Nu geeft de Autoriteit Persoonsgegevens een waarschuwing; als een bedrijf zijn leven niet betert, kan een dwangsom van 800.000 euro worden opgelegd. Dat verandert: straks kan meteen een boete worden opgelegd.
"We krijgen veel meer mogelijkheden om in te grijpen", zegt Wolfsen van de privacywaakhond. "We hebben ook een waarschuwende functie, maar daarnaast kunnen we ook echt boetes gaan opleggen. Dus bedrijven, heb je boel op orde."